Loi Informatique et Libertés
Loi Informatique et Libertés
La Loi Informatique et Libertés est une loi française majeure, codifiée sous le numéro Loi n° 78-17 du 6 janvier 1978, relative à l'informatique, aux fichiers et aux libertés. Il s'agit du texte fondateur de la protection des données personnelles en France et l’une des références européennes en matière de régulation des traitements automatisés d’informations nominatives. Cette loi s’applique aussi bien au secteur privé qu’au secteur public.
Historique
La prise de conscience de la nécessité d’encadrer le traitement automatisé des informations personnelles en France trouve ses origines dans les années 1970, à la suite du projet SAFARI de centralisation des fichiers administratifs. La loi a ainsi été adoptée le 6 janvier 1978, sous la présidence de Valéry Giscard d’Estaing, et est entrée en vigueur le 1ᵉʳ avril 1980.
La loi n’a cessé d’être modifiée afin de s’adapter à l’évolution technologique et législative, notamment avec l’intégration de la directive européenne 95/46/CE, puis avec l’entrée en vigueur du RGPD à partir du 25 mai 2018.
| Date | Modifications majeures |
|---|---|
| 6 janvier 1978 | Promulgation de la loi |
| 6 août 2004 | Adaptation à la Directive 95/46/CE |
| 20 juin 2018 | Transposition du RGPD, modifications substantielles |
Champ d’application
La Loi Informatique et Libertés s’applique à tout traitement de données à caractère personnel mené sur le territoire français, que ce soit par une personne morale (entreprises, associations, administrations) ou une personne physique, dès lors que celui-ci n’est pas exclusivement réalisé dans un cadre personnel ou domestique.
Elle vise notamment :
- Les collectivités territoriales
- Les ministères
- Les établissements publics de santé (AP-HP, CHU)
- Les EPA
Principes fondamentaux
La loi pose des principes fondateurs de la protection des données personnelles, qui sont aujourd’hui alignés avec ceux du RGPD :
- Licéité, loyauté et transparence du traitement
- Limitation des finalités
- Minimisation des données
- Exactitude des données
- Limitation de la conservation
- Intégrité et confidentialité
- Responsabilité du responsable du traitement (Responsable de traitement)
La CNIL
Un des apports majeurs de la Loi Informatique et Libertés est la création de la CNIL. Cette autorité administrative indépendante a pour mission de veiller à la protection des données, de contrôler les traitements, de conseiller les pouvoirs publics, d’informer le public, et de sanctionner en cas de manquement.
La CNIL est également chargée :
- D’émettre des avis sur les projets de lois et de décrets ayant une incidence sur la protection des données
- D’autoriser certains traitements spécifiques (données sensibles, sécurité nationale, etc.)
- De recevoir les plaintes des personnes concernées
- D’effectuer des contrôles auprès des organismes publics et entreprises
Droits des personnes concernées
La loi confère aux personnes physiques un ensemble de droits, renforcés par le RGPD. Parmi eux :
- Le Droit d’accès
- Le Droit de rectification
- Le Droit d’opposition
- Le droit à l’effacement ("droit à l’oubli")
- Le Droit à la portabilité
- Le Droit à la limitation du traitement
- Le Droit d’information
Les demandes doivent être adressées au responsable de traitement ou, en cas de difficulté, à la CNIL.
Obligations des responsables de traitements
Les entités publiques ou privées traitant des données à caractère personnel doivent :
- Tenir un registre des activités de traitement
- Respecter les principes de protection des données dès la conception et par défaut (privacy by design)
- Procéder, dans certains cas, à une analyse d'impact (DPIA)
- Notifier les violations de données à la CNIL et aux personnes concernées, le cas échéant
- Désigner, dans certains cas, un DPO
Sanctions
La CNIL dispose d’un large spectre de pouvoirs de sanction à l’encontre des contrevenants :
| Nature de la sanction | Détail |
|---|---|
| Avertissement | Mise en demeure de conformité |
| Injunction | Interruption ou limitation des traitements, suspension de transmissions |
| Sanction pécuniaire | Amendes administratives pouvant atteindre 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial |
| Publicité de la sanction | Publication, anonymisée ou non, sur le site de la CNIL |
Evolution de la législation
La Loi Informatique et Libertés a été modifiée à de nombreuses reprises, les plus notables étant :
- La loi du 6 août 2004 qui transpose la Directive 95/46/CE
- L’Ordonnance du 12 décembre 2018 qui réécrit certaines dispositions pour intégrer le RGPD
- Les décrets d’application successifs précisant la mise en œuvre
Loi Informatique et Libertés et Fonction Publique
Dans la fonction publique, la gestion des données sensibles, des dossiers administratifs, des notes RH, ou des données de santé des agents impose une vigilance renforcée :
- Désignation obligatoire d’un DPO dans tous les ministères, collectivités territoriales, établissements publics
- Collecte et traitement strictement encadrés, notamment dans le cadre du dossier individuel de l’agent
- Contrôles réguliers de la CNIL, notamment sur les systèmes de gestion des ressources humaines
Textes associés et jurisprudence
La Loi Informatique et Libertés est complétée ou interprétée par :
- Le Code pénal (infractions liées à l’accès illicite ou au détournement de données)
- Le Code du travail (obligations en matière de surveillance des salariés)
- Jurisprudence du Conseil d’État, de la Cour de cassation, du Conseil constitutionnel
- Recommandations et délibérations de la CNIL